Функции сброса пароля (один клик, одноразовое использование, 24 часа, ???) - PullRequest
Новая
       13

Функции сброса пароля (один клик, одноразовое использование, 24 часа, ???)

1 голос
/ 04 июня 2011

Мы настраиваем функцию, позволяющую пользователям сбрасывать свой пароль, когда они не могут получить доступ к своей учетной записи. Мы просим их адрес электронной почты (который они используют для входа на сайт), отправляем им письмо с уникальной ссылкой.

Вопросы:

  1. Если срок действия ссылки истекает при первом щелчке мыши или срок действия ссылки истекает при первом использовании (т. Е. Они успешно сбрасывают свой пароль)?
  2. Должна ли ссылка иметь 24-часовой срок действия (или что-то подобное)?
  3. Должен ли пользователь войти в систему после того, как он щелкнет по этой ссылке?

Ответы [ 2 ]

2 голосов
/ 04 июня 2011

  1. Срок действия ссылки истекает после смены пароля.Если у вас истек срок действия ссылки при первом нажатии, это может вызвать проблемы.Допустим, у меня плохое интернет-соединение, и страница не загрузилась полностью в мой браузер.Я перезагружаю страницу, и она говорит, что ссылка истекла.Я не был бы счастлив, увидев это.

  2. Да, вам следует ограничить ссылку разумным временем.24 часа выглядит достаточно разумно.Если вы не ограничите срок действия ссылки, во-первых, вам придется хранить сгенерированный идентификатор навсегда, во-вторых, чем дольше вы будете сохранять эту ссылку активной, тем выше вероятность того, что ссылка будет украдена злоумышленником, что приведет к краже учетной записи.1007 *

  3. Вы должны впустить пользователя только после того, как пользователь изменит свой пароль.Если вы просто войдете в систему, они, вероятно, решат, что им больше не нужно менять пароль.Таким образом, они могут входить в систему вечно, не меняя / не зная своего пароля.

1 голос
/ 04 июня 2011
  1. Срок действия ссылки истекает после успешного сброса пароля.Если пользователь каким-то образом нуждался в руководстве по сбросу пароля и хотел вернуться позже, он должен это сделать.
  2. То, что сброс должен закончиться, в конце концов, через 48 часов?
  3. Да, они должны войти в систему после сброса пароля, в противном случае есть другой расстраивающий шаг на пути вашего пользователя, который делает то, что онпришел сделать на свой сайт.
...